SSH 安全方案
定位:用短时证书登录取代长期公钥,让 SSH 访问基于身份、集中授权、全程可审计。
解决什么问题
传统 SSH 依赖散落在各服务器 authorized_keys 里的长期公钥:谁能登录哪台机器难以盘点,人员离职后残留的公钥更是长期隐患。以身份为中心的 SSH,把"登录权"变成一次性、可撤销、可审计的授权。
关键能力
- 短时证书登录:登录时签发分钟 / 小时级有效的 SSH 证书,过期即失效,无需常驻密钥。
- 去除长期公钥:服务器只信任 CA,不再逐台维护
authorized_keys。 - 集中授权:按用户 / 角色 / 主机组统一定义谁能登录什么,变更即时生效。
- 全程审计:每次登录关联到具体身份与时段,便于合规与追溯。
- 基于身份的访问:权限跟着身份走,人员变动只需改一处授权。
与 SPIFFE 的协同
方案可用 SSH CA 独立落地,也可与 SPIFFE / SVID 统一身份体系对接,实现零常驻密钥:人和服务共用同一套可验证身份与短时凭据模型,人到机器、机器到机器的访问都不再依赖长期密钥。
了解更多
试用与合作请联系我们。